AWSとオンプレミスをセキュアにつなぐ勘所

Transcript

1. AWSとオンプレミスを セキュアに繋ぐ勘所 まちや

2. 自己紹介 まちや (町屋 真隆) • 社会人歴：もうすぐ5年目 • 好きな技術：ネットワーク!! • 好きなAWSサービス：Amazon

   VPC • Xアカウント：まちや @MasatakaMachiya

3. 今日話すこと ・Site-to-Site VPNを使ってAWSと自社管理外(ユーザ)のオン プレミスを接続するときに考慮するポイント 今日話さないこと ・Direct Connectのお話(本当は話したい)

4. AWSとオンプレミスの接続パターン インターネット インターネット VPN 専用線接続

5. AWSとオンプレミスの接続パターン インターネット Site-to-Site VPN Direct Connect

6. AWSとオンプレミスの接続パターン インターネット Site-to-Site VPN Direct Connect

7. インターネットVPNを作るってどういうこと？ 拠点A 拠点B

8. インターネットVPNを作るってどういうこと？ 拠点A 拠点B 拠点間の代表のルータを繋ぐこと

9. インターネットVPNを作るってどういうこと？ AWS 拠点 VGW CGW Router CGW device

10. VPNを構築するために決めないといけないこと 1.VPCのCIDR 2.Site-to-Site VPNと対抗ルータのVPN仕様を合わせる 3.冗長構成の検討

11. 1.VPCのCIDRを決める AWS 拠点 VGW CGW

12. 1.VPCのCIDRを決める AWS 拠点 VGW CGW プライベートIPアドレス クラスA:10.0.0.0~10.255.255.255(10.0.0.0/8) クラスB:172.16.0.0~172.31.255.255(172.16.0.0/12) クラスC:192.168.0.0.~192.168.255.255(192.168.0.0/16)

13. 1.VPCのCIDRを決める AWS 拠点 VGW CGW プライベートIPアドレス クラスA:10.0.0.0~10.255.255.255(10.0.0.0/8) クラスB:172.16.0.0~172.31.255.255(172.16.0.0/12) クラスC:192.168.0.0.~192.168.255.255(192.168.0.0/16) 拠点間で

    IPアドレスが被って はいけない！

14. 1.VPCのCIDRを決める AWS 拠点 VGW CGW クラスはどこが空いてますか？

15. 1.VPCのCIDRを決める AWS 拠点 VGW CGW クラスAとCは使っちゃっている からクラスBがいいかな～

16. 1.VPCのCIDRを決める AWS 拠点 VGW CGW クラスA:10.0.0.0/8 クラスC:192.168.0.0/16 クラスBなら 172.16.0.0/16でどうすか？

17. 1.VPCのCIDRを決める AWS 拠点 VGW CGW クラスA:10.0.0.0/8 クラスC:192.168.0.0/16 いいですよ～！◎

18. 1.VPCのCIDRを決める AWS 拠点 VGW CGW クラスA:10.0.0.0/8 クラスC:192.168.0.0/16 172.16.0.0/16 パブリックサブネット 172.16.1.0/24

    プライベートサブネット 172.16.2.0/24

19. VPNを構築するために決めないといけないこと 1.VPCのCIDR 2.Site-to-Site VPNと対抗ルータのVPN仕様を合わせる 3.冗長構成の検討

20. 2.Site-to-Site VPNと対抗ルータの VPN仕様を合わせる AWS 拠点 VGW

21. ルータ同士はVPNの仕様を合わせる必要がある AWS 拠点 VGW AES256 SHA2-256 IKEv2 AES256 SHA2-256 IKEv2

22. ルータ同士はVPNの仕様を合わせる必要がある AWS 拠点 VGW 対向のルータの機種 教えてください！

23. ルータ同士はVPNの仕様を合わせる必要がある AWS 拠点 VGW 例）YamahaのRTX◦◦です！

24. ルータ同士はVPNの仕様を合わせる必要がある AWS 拠点 VGW 対応できますね！ VPN仕様はこれでお願いします！

25. ルータ同士はVPNの仕様を合わせる必要がある AWS 拠点 VGW AES256 SHA2-256 IKEv2 AES256 SHA2-256 IKEv2

26. Site-to-Site VPNの仕様 仕様 種類 BGP 使用する/しない 暗号化アルゴリズム AES128,AES256, AES128,AES128-GCM-16, AES256-GCM-16

    整合性(ハッシュ) アルゴリズム SHA1,SHA2-256, SHA2-384,SHA2-512 DH(Diffie-Hellman)グループ 2,14,15,16,17,18,19,20,21 ,22,23,24 IKEバージョン IKEv1,IKEv2

27. VPNを構築するために決めないといけないこと 1.VPCのCIDR 2.Site-to-Site VPNと対抗ルータの通信形式 3.冗長構成の検討

28. 3.冗長構成の検討 トンネル1 トンネル2 AWS Site-to-Site VPN 単一および複数の VPN 接続の例 -

    AWS Site-to-Site VPN

29. 3.冗長構成の検討 フェイルオーバー用の冗長 AWS Site-to-Site VPN 接続 - AWS Site-to-Site VPN

30. エンプラ企業は通信会社のNWサービス使っている • NTT • KDDI • ソフトバンク とかとか 詳しくは「◦◦社 VPNサービス」で検索

31. 3.冗長構成の検討 AWS 拠点 VGW 回線は複数持っていますか？

32. 3.冗長構成の検討 AWS 拠点 VGW 例）NTTの回線1個のみです！

33. ルータ1台構成 (IPSecトンネルは冗長化) トンネル1 トンネル2

34. 3.冗長構成の検討 AWS 拠点 VGW 回線は複数持っていますか？

35. 3.冗長構成の検討 AWS 拠点 VGW 回線はNTTとKDDIの 2回線で冗長化しているよ！

36. WAN回線の冗長化構成

37. WAN回線の冗長化構成 VGWは内部で 冗長化済み

38. まとめ 1.VPCのCIDRを決める ⇒オンプレのCIDRを聞きましょう！ 2.Site-to-Site VPNの対抗のVPN仕様を合わせる ⇒拠点側のルータを聞いて調べよう！ 3.冗長構成の検討 ⇒回線が複数あるか聞こう！